Vijf jaar geleden, om precies te zijn op 25 mei 2018, trad de AVG (Algemene Verordening Gegevensbescherming) in werking. Hoofddoel van deze EU-wet was om de privacy van de Europese burgers beter te beschermen door de verwerking van persoonsgegevens aan uniforme regels te binden.

Door Peter Doorn.

Ook voor de wetenschap golden de nieuwe regels. Universiteiten en andere wetenschapsorganisaties, waaronder ook DANS, troffen maatregelen om aan die regels te voldoen. Eerder dit voorjaar stuurde de Algemene Rekenkamer een brief aan de Tweede Kamer waarin zij stevige kritiek uitte op de manier waarop de AVG werd uitgevoerd. DANS waarschuwde al vóór de invoering dat de nieuwe wet onnodige en ongewenste belemmeringen voor wetenschappelijk datagebruik kon opwerpen. De Rekenkamer toont aan dat overheidstaken in brede zin worden gehinderd, niet in de eerste plaats door de wet zelf, maar vooral door de manier waarop de wet is geïnterpreteerd en toegepast. Deze kritiek ligt precies in lijn met waar DANS destijds al voor vreesde.

Ontbreken voorbereiding zorgt voor paniekgolf

Zoals vaak gebeurt bij de invoering van nieuwe wetgeving was de voorbereiding in de wetenschap op de invoering van de AVG (die al enkele jaren eerder was aangekondigd) grotendeels afwezig. Er kwam een paniekgolf op gang, die doorgaans leidde tot veel strengere regels dan de wet zelf vergde. Juristen kwamen soms met de simpele oplossing om maar helemaal geen persoonsgegevens meer te delen, dan kon er ook niets fout gaan. Want: op overtreding van de wet stonden hoge boetes. Onder het motto: beter safe than sorry werd stevig aan de privacy-noodrem getrokken. 

Wat is privacygevoelig?

Sommige privacy-opvattingen waren zo extreem, dat zelfs wetenschappelijke artikelen als privacygevoelige informatie werden gezien, louter omdat er een auteursnaam boven staat. Ook Data Management Plannen, die misschien om andere redenen als vertrouwelijk kunnen gelden, werden uit naam van de privacy beschermd geacht. Hierdoor werd het voor DANS onmogelijk om te zien welke projecten archiefwaardige data zouden opleveren. Toch worden dit soort kwesties expliciet in de AVG ondervangen: als het voor de uitoefening van publieke taken noodzakelijk is, mag persoonsinformatie wel degelijk worden gedeeld, mits doel en wijze duidelijk en gemotiveerd zijn vastgelegd. Dit is precies één van de manco’s die door de Rekenkamer worden genoemd: zo wordt bijvoorbeeld de fraudebestrijding in de zorg gefrustreerd omdat de vele betrokken organisaties hun gegevens niet delen, met een onterecht beroep op de privacywet.

Beschermen van burgers 

Natuurlijk was en is het doel van de privacywetgeving loffelijk. Vraag je het aan ChatGPT dan antwoordt het systeem braaf dat de AVG “heeft geleid tot meer verantwoorde en zorgvuldige omgang met persoonsgegevens” en “tot grotere bewustwording van de privacy-problematiek”. Belangrijk doelwit van de wet waren (en zijn) de grote ICT-bedrijven, die steeds meer informatie over burgers vastleggen. Dergelijke bedrijven waren veel beter voorbereid op de AVG. Hoewel de wet bedrijven zoals Google heeft gedwongen om veranderingen aan te brengen in hun processen van gegevensverzameling en -verwerking om te voldoen aan de privacyeisen, is de hoeveelheid informatie die zij vastleggen over personen zo goed als zeker niet verminderd. Immers, je kunt praktisch geen gebruik maken van de meeste Google-diensten zonder in te stemmen met de privacyverklaring, waarin je Google toestaat je persoonsgegevens te verzamelen en te gebruiken.

Ook ChatGPT gebonden aan regels

ChatGPT antwoordt op de vraag wat hij over mij weet: “Als AI-model heb ik geen directe toegang tot persoonlijke informatie over jou, tenzij je mij specifieke informatie verstrekt tijdens onze interactie. Ik ben geprogrammeerd om te reageren op vragen en commando’s op basis van mijn trainingsdata en algoritmes, en ik houd geen gegevens bij over individuele gebruikers. Het is belangrijk om te benadrukken [. . .] dat ik als AI-model gebonden ben aan de privacyregels en -voorschriften van de bedrijven en organisaties die mij gebruiken.” Vijf jaar is geen lange tijd om de effectiviteit van een nieuwe wet te evalueren. Desalniettemin is de vraag van de Rekenkamer gerechtvaardigd of de uitvoering van de AVG niet aanzienlijk beter kan.